/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
distrubueret liste over distribuerede ssh-~
Fra : Leif Neland


Dato : 09-04-09 19:20

Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.

Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
ligesom spamcop, pyzor og razor?

Skurkene angriber sikkert fra et botnet, med lang tid imellem hvert forsøg
fra den samme host.

Hvis vi white-hats nu indrapporterede hvert forsøg til et centralt sted, så
kunne dette sted, f.ex. via dns-opslag rapportere, at denne ip-adresse
bliver brugt til indbrudsforsøg.

Så kunne man spærre for fremtidige besøg fra den adresse.

Evt kunne dette centrale sted sende en mail til abuse@udbyderen (hvis dette
stadig virker...) og rapportere at den og den host under hans jurisdiktion
bliver brugt til botnet.

Findes der noget i den stil?

Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
er muligt at stoppe problemet ved roden.

Leif


Er der



 
 
Kent Friis (09-04-2009)
Kommentar
Fra : Kent Friis


Dato : 09-04-09 20:39

Den Thu, 9 Apr 2009 20:19:58 +0200 skrev Leif Neland:
> Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
> hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.
>
> Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
> ligesom spamcop, pyzor og razor?

Ikke mig bekendt.

> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
> maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
> er muligt at stoppe problemet ved roden.

Symptom-behandling er den mest effektive løsning... Slå logning af
mislykkede forsøg fra

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Kasper Lund (09-04-2009)
Kommentar
Fra : Kasper Lund


Dato : 09-04-09 21:27

Kent Friis wrote:
> Den Thu, 9 Apr 2009 20:19:58 +0200 skrev Leif Neland:
>> Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
>> hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.
>>
>> Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
>> ligesom spamcop, pyzor og razor?
>
> Ikke mig bekendt.
>
>> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
>> maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
>> er muligt at stoppe problemet ved roden.
>
> Symptom-behandling er den mest effektive løsning... Slå logning af
> mislykkede forsøg fra

Og/eller brug denyhosts. Jeg bruger det selv og føler da at det giver en
vis tryghed. Men måske tager jeg fejl?

>
> Mvh
> Kent

Leif Neland (10-04-2009)
Kommentar
Fra : Leif Neland


Dato : 10-04-09 19:25


>>
>>> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
>>> maskine, for det er kun symptombehandling. Det er mere interessant,
>>> hvis det er muligt at stoppe problemet ved roden.
>>
>> Symptom-behandling er den mest effektive løsning... Slå logning af
>> mislykkede forsøg fra
>
> Og/eller brug denyhosts. Jeg bruger det selv og føler da at det giver en
> vis tryghed. Men måske tager jeg fejl?
>
Nu har jeg installeret denyhosts, og er nu oppe på 648 hosts.

Men een ting er jo at blokere for angrebene hos mig selv, men er der
nogen, der fortæller f.ex. dbhosting.nl at websvr01.dbhosting.nl er
inficeret?


Jeg ville da p'sonligt gerne have en mail, hvis en af mine servere var
blevet inficeret.

Leif

Rander (10-04-2009)
Kommentar
Fra : Rander


Dato : 10-04-09 01:25

Kent Friis skrev noget i denne stil, den 09-04-2009 21:38:
>> Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
>> hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.
> Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
>> ligesom spamcop, pyzor og razor?
> Ikke mig bekendt.
>> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
>> maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
>> er muligt at stoppe problemet ved roden.
> Symptom-behandling er den mest effektive løsning... Slå logning af
> mislykkede forsøg fra

Jeg foretrækker nu at sætte sshd til at lytte på en anden port end
standard-porten...

--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://bamsepetting.dk

Mine eventuelle forældre og søskende kendes ikke.
Min mand er død, han har hængt sig, det svin. (Skadesanmeldelse)

Klaus Alexander Seis~ (10-04-2009)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 10-04-09 00:30

Kasper Lund skrev:

> Og/eller brug denyhosts.

Denyhosts kan netop tjekke om en given IP-adresse har forsøgt sig på
en anden ssh-server, som OP efterlyste/foreslog.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

Kasper Nordal Lund (10-04-2009)
Kommentar
Fra : Kasper Nordal Lund


Dato : 10-04-09 06:14

Klaus Alexander Seistrup wrote:
> Kasper Lund skrev:
>
>> Og/eller brug denyhosts.
>
> Denyhosts kan netop tjekke om en given IP-adresse har forsøgt sig på
> en anden ssh-server, som OP efterlyste/foreslog.
>
> Mvh,
>

Ja, det kan jeg da se. Det har jeg aldrig benyttet mig af, men jeg får
dagligt tilføjet nye hosts i min egen deny hosts fil.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste